# コンテンツ分野 6: セキュリティ基盤とガバナンス
<a name="security-specialty-03-domain6"></a>

**Topics**
+ [タスク 6.1: AWS アカウントを一元的にデプロイして管理する戦略を策定する。](#security-specialty-03-domain6-task1)
+ [タスク 6.2: クラウドリソースのためのセキュアで一貫したデプロイ戦略を実装する。](#security-specialty-03-domain6-task2)
+ [タスク 6.3: AWS リソースのコンプライアンスを評価する。](#security-specialty-03-domain6-task3)

## タスク 6.1: AWS アカウントを一元的にデプロイして管理する戦略を策定する。
<a name="security-specialty-03-domain6-task1"></a>

対象スキル:
+ スキル 6.1.1: AWS Organizations を使用して組織をデプロイし、設定する。
+ スキル 6.1.2: AWS Control Tower を新規および既存の環境に実装して管理し、オプションのカスタムコントロールをデプロイする。
+ スキル 6.1.3: アクセス許可を管理するための組織ポリシーを実装する (SCP、RCP、AI サービスオプトアウトポリシー、宣言型ポリシーなど)。
+ スキル 6.1.4: セキュリティサービスを一元管理する (委任管理者アカウントなど)。
+ スキル 6.1.5: AWS アカウントのルートユーザー認証情報を管理する (メンバーアカウントのルートアクセスの一元化、MFA の管理、ブレークグラス手順の設計など)。

## タスク 6.2: クラウドリソースのためのセキュアで一貫したデプロイ戦略を実装する。
<a name="security-specialty-03-domain6-task2"></a>

対象スキル:
+ スキル 6.2.1: Infrastructure as Code を使用して、クラウドリソースをアカウント間で一貫したセキュアな方法でデプロイする (CloudFormation スタックセット、サードパーティーの IaC ツール、CloudFormation Guard、cfn-lint など)。
+ スキル 6.2.2: タグを使用して、AWS リソースを管理用のグループに整理する (部門、コストセンター、環境別のグループ化など)。
+ スキル 6.2.3: 中央のソースからポリシーと設定をデプロイし、強制適用する (AWS Firewall Manager など)。
+ スキル 6.2.4: AWS アカウント間でリソースをセキュアな方法で共有する [AWS Service Catalog、AWS Resource Access Manager (AWS RAM) など]。

## タスク 6.3: AWS リソースのコンプライアンスを評価する。
<a name="security-specialty-03-domain6-task3"></a>

対象スキル:
+ スキル 6.3.1: 準拠していない AWS リソースを検出して修正し、通知を送信するためのルールを作成または有効にする (AWS Config を使用したアラートの集約と非準拠のリソースの修正、Security Hub など)。
+ スキル 6.3.2: AWS 監査サービスを使用してエビデンスを収集し、整理する (AWS Audit Manager、AWS Artifact など)。
+ スキル 6.3.3: AWS のサービスを使用して、アーキテクチャが AWS セキュリティのベストプラクティスに準拠しているかどうかを評価する (AWS Well-Architected フレームワークツールなど)。